นักพัฒนาไฟร์ฟอกซ์ เกี่ยวกับความสมบูรณ์ของการทดสอบการสนับสนุน DNS บน HTTPS (DoH, DNS บน HTTPS) และความตั้งใจที่จะเปิดใช้งานเทคโนโลยีนี้เป็นค่าเริ่มต้นสำหรับผู้ใช้ในสหรัฐอเมริกา ณ สิ้นเดือนกันยายน การเปิดใช้งานจะดำเนินการอย่างต่อเนื่อง โดยเริ่มแรกสำหรับผู้ใช้เพียงไม่กี่เปอร์เซ็นต์ และหากไม่มีปัญหาใดๆ จะค่อยๆ เพิ่มขึ้นเป็น 100% เมื่อครอบคลุมสหรัฐอเมริกาแล้ว DoH จะได้รับการพิจารณาให้รวมในประเทศอื่นๆ
การทดสอบที่ดำเนินการตลอดทั้งปีแสดงให้เห็นถึงความน่าเชื่อถือและประสิทธิภาพที่ดีของบริการ และยังทำให้สามารถระบุบางสถานการณ์ที่ DoH สามารถนำไปสู่ปัญหาและพัฒนาวิธีแก้ปัญหาเพื่อหลีกเลี่ยงปัญหาเหล่านั้น (เช่น การถอดประกอบ ด้วยการเพิ่มประสิทธิภาพการรับส่งข้อมูลในเครือข่ายการจัดส่งเนื้อหา การควบคุมโดยผู้ปกครอง และโซน DNS ภายในองค์กร)
ความสำคัญของการเข้ารหัสการรับส่งข้อมูล DNS ได้รับการประเมินว่าเป็นปัจจัยสำคัญขั้นพื้นฐานในการปกป้องผู้ใช้ ดังนั้นจึงตัดสินใจเปิดใช้งาน DoH ตามค่าเริ่มต้น แต่ในขั้นตอนแรกสำหรับผู้ใช้จากสหรัฐอเมริกาเท่านั้น หลังจากเปิดใช้งาน DoH ผู้ใช้จะได้รับคำเตือนที่จะอนุญาตให้ปฏิเสธที่จะติดต่อเซิร์ฟเวอร์ DoH DNS แบบรวมศูนย์และกลับสู่รูปแบบดั้งเดิมของการส่งคำขอที่ไม่ได้เข้ารหัสไปยังเซิร์ฟเวอร์ DNS ของผู้ให้บริการ (แทนที่จะเป็นโครงสร้างพื้นฐานแบบกระจายของตัวแก้ไข DNS DoH ใช้การเชื่อมโยงกับบริการ DoH เฉพาะ ซึ่งถือได้ว่าเป็นจุดเดียวของความล้มเหลว)
หากเปิดใช้งาน DoH ระบบควบคุมโดยผู้ปกครองและเครือข่ายองค์กรที่ใช้โครงสร้างชื่อ DNS เฉพาะเครือข่ายภายในเพื่อแก้ไขที่อยู่อินทราเน็ตและโฮสต์ขององค์กรอาจถูกรบกวน เพื่อแก้ไขปัญหาเกี่ยวกับระบบดังกล่าว จึงมีการเพิ่มระบบตรวจสอบที่จะปิดการใช้งาน DoH โดยอัตโนมัติ การตรวจสอบจะดำเนินการทุกครั้งที่เปิดเบราว์เซอร์หรือเมื่อตรวจพบการเปลี่ยนแปลงซับเน็ต
นอกจากนี้ ยังมีการส่งคืนการใช้ตัวแก้ไขระบบปฏิบัติการมาตรฐานโดยอัตโนมัติ หากเกิดความล้มเหลวระหว่างการแก้ไขผ่าน DoH (เช่น หากความพร้อมใช้งานของเครือข่ายกับผู้ให้บริการ DoH ถูกรบกวนหรือเกิดความล้มเหลวในโครงสร้างพื้นฐาน) ความหมายของการตรวจสอบดังกล่าวเป็นเรื่องที่น่าสงสัย เนื่องจากไม่มีใครป้องกันผู้โจมตีที่ควบคุมการทำงานของตัวแก้ไขหรือสามารถรบกวนการรับส่งข้อมูลจากการจำลองพฤติกรรมที่คล้ายกันเพื่อปิดใช้งานการเข้ารหัสการรับส่งข้อมูล DNS ปัญหาได้รับการแก้ไขโดยการเพิ่มรายการ "DoH เสมอ" ลงในการตั้งค่า (ไม่ได้ใช้งานอย่างเงียบๆ) เมื่อตั้งค่าไว้ จะไม่ใช้การปิดเครื่องอัตโนมัติซึ่งเป็นการประนีประนอมที่สมเหตุสมผล
ในการระบุตัวแก้ไขระดับองค์กร จะมีการตรวจสอบโดเมนระดับแรก (TLD) ที่ไม่ปกติ และผู้แก้ไขระบบจะส่งคืนที่อยู่อินทราเน็ต เพื่อตรวจสอบว่าเปิดใช้งานการควบคุมโดยผู้ปกครองหรือไม่ ให้พยายามแก้ไขชื่อ exampleadultsite.com และหากผลลัพธ์ไม่ตรงกับ IP จริง จะถือว่าการบล็อกเนื้อหาสำหรับผู้ใหญ่ทำงานอยู่ที่ระดับ DNS นอกจากนี้ ที่อยู่ IP ของ Google และ YouTube ยังได้รับการตรวจสอบเป็นสัญญาณเพื่อดูว่าถูกแทนที่ด้วยstrict.youtube.com, forcesafesearch.google.com และstrictmoderate.youtube.com หรือไม่ Mozilla เพิ่มเติม ใช้โฮสต์ทดสอบเดียว ซึ่ง ISP และบริการควบคุมโดยผู้ปกครองสามารถใช้เป็นแฟล็กเพื่อปิดใช้งาน DoH (หากตรวจไม่พบโฮสต์ Firefox จะปิดใช้งาน DoH)
การทำงานผ่านบริการ DoH เดียวอาจทำให้เกิดปัญหากับการเพิ่มประสิทธิภาพการรับส่งข้อมูลในเครือข่ายการจัดส่งเนื้อหาที่สร้างสมดุลการรับส่งข้อมูลโดยใช้ DNS (เซิร์ฟเวอร์ DNS ของเครือข่าย CDN สร้างการตอบสนองโดยคำนึงถึงที่อยู่ของตัวแก้ไข และจัดเตรียมโฮสต์ที่ใกล้เคียงที่สุดเพื่อรับเนื้อหา) การส่งข้อความสอบถาม DNS จากตัวแก้ไขที่ใกล้กับผู้ใช้มากที่สุดใน CDN ดังกล่าวส่งผลให้ส่งคืนที่อยู่ของโฮสต์ที่ใกล้กับผู้ใช้มากที่สุด แต่การส่งคำถาม DNS จากตัวแก้ไขแบบรวมศูนย์จะส่งคืนที่อยู่โฮสต์ใกล้กับเซิร์ฟเวอร์ DNS-over-HTTPS มากที่สุด . การทดสอบในทางปฏิบัติแสดงให้เห็นว่าการใช้ DNS-over-HTTP เมื่อใช้ CDN ทำให้แทบไม่มีความล่าช้าก่อนเริ่มการถ่ายโอนเนื้อหา (สำหรับการเชื่อมต่อที่รวดเร็ว ความล่าช้าไม่เกิน 10 มิลลิวินาที และประสิทธิภาพที่เร็วขึ้นนั้นถูกตรวจพบในช่องทางการสื่อสารที่ช้า ). การใช้ส่วนขยายเครือข่ายย่อยไคลเอ็นต์ EDNS ยังได้รับการพิจารณาเพื่อให้ข้อมูลตำแหน่งไคลเอ็นต์แก่ตัวแก้ไข CDN
ขอให้เราจำไว้ว่า DoH จะมีประโยชน์ในการป้องกันการรั่วไหลของข้อมูลเกี่ยวกับชื่อโฮสต์ที่ร้องขอผ่านเซิร์ฟเวอร์ DNS ของผู้ให้บริการ ต่อสู้กับการโจมตี MITM และการปลอมแปลงการรับส่งข้อมูล DNS การตอบโต้การบล็อกในระดับ DNS หรือสำหรับการจัดระเบียบงานในกรณีที่ ไม่สามารถเข้าถึงเซิร์ฟเวอร์ DNS ได้โดยตรง (เช่น เมื่อทำงานผ่านพรอกซี) หากในสถานการณ์ปกติ คำขอ DNS ถูกส่งโดยตรงไปยังเซิร์ฟเวอร์ DNS ที่กำหนดไว้ในการกำหนดค่าระบบ ในกรณีของ DoH คำขอเพื่อระบุที่อยู่ IP ของโฮสต์จะถูกห่อหุ้มในการรับส่งข้อมูล HTTPS และส่งไปยังเซิร์ฟเวอร์ HTTP ซึ่งตัวแก้ไขประมวลผล คำขอผ่าน Web API มาตรฐาน DNSSEC ที่มีอยู่ใช้การเข้ารหัสเพื่อตรวจสอบสิทธิ์ไคลเอ็นต์และเซิร์ฟเวอร์เท่านั้น แต่ไม่ได้ป้องกันการรับส่งข้อมูลจากการสกัดกั้น และไม่รับประกันการรักษาความลับของคำขอ
หากต้องการเปิดใช้งาน DoH ใน about:config คุณต้องเปลี่ยนค่าของตัวแปร network.trr.mode ซึ่งได้รับการสนับสนุนตั้งแต่ Firefox 60 ค่า 0 จะปิดใช้งาน DoH โดยสมบูรณ์ 1 - ใช้ DNS หรือ DoH แล้วแต่ว่าอันไหนจะเร็วกว่า 2 - DoH ถูกใช้เป็นค่าเริ่มต้น และใช้ DNS เป็นตัวเลือกสำรอง 3 - ใช้เฉพาะ DoH เท่านั้น 4 - โหมดมิเรอร์ที่ใช้ DoH และ DNS พร้อมกัน ตามค่าเริ่มต้น เซิร์ฟเวอร์ CloudFlare DNS จะถูกใช้งาน แต่สามารถเปลี่ยนแปลงได้ผ่านพารามิเตอร์ network.trr.uri ตัวอย่างเช่น คุณสามารถตั้งค่า “https://dns.google.com/experimental” หรือ “https://9.9.9.9 .XNUMX/dns-แบบสอบถาม "
ที่มา: opennet.ru